Nuevos retos de Seguridad la importancia del elemento humano Alfredo Aranguren T. CISM, CISSP De nada sirve invertir miles de dólares en tecnología, si el elemento humano que la opera y usa falla. Es importantes proteger la información, no importando la manera en que esta se encuentre (digital, impresa, verbal). Alfredo Aranguren T. CISM, CISSP 2 Problemática Actual • Mal manejo de documentos impresos. – Impresión desatendida. – Desecho de documentos – Escritorio limpio. Dumpster Diving Alfredo Aranguren T. CISM, CISSP 3 Problemática Actual • Mal manejo de dispositivos de accesos físicos – Otorgar accesos a personal no autorizado. Piggybacking Alfredo Aranguren T. CISM, CISSP 4 Problemática Actual • Uso de USB Drives – Uso promiscuo – Desconocimiento de medidas básicas de seguridad. • Confidencialidad • Integridad • Destrucción Alfredo Aranguren T. CISM, CISSP 5 Problemática Actual • Shoulder Surfing – Bloqueo de equipo Alfredo Aranguren T. CISM, CISSP 6 Problemática Actual • Phishing Alfredo Aranguren T. CISM, CISSP 7 Problemática Actual • Cartas cadenas, Scams – Robo de identidad – Fraudes Loan Department Alfredo Aranguren T. CISM, CISSP 8 Problemática Actual • Prestamos de cuentas y contraseñas – No repudiation Alfredo Aranguren T. CISM, CISSP 9 Problemática Actual • Uso de dispositivos móviles – Información confidencial sin protección – Aplicaciones inseguras – Controles de accesos deficientes. Alfredo Aranguren T. CISM, CISSP 10 Problemática Actual • Manejo de Información verbal – En sitios públicos – Fuera de la empresa – Con personas conocidas. Alfredo Aranguren T. CISM, CISSP 11 Principales amenazas 2011 • • • • • • • • • • Vulnerabilidades en la aplicaciones Dispositivos móviles Virus y Gusanos Usuarios internos Hackers Cyberterrorismo Servicios en la nube Crimen organizado Ataques a redes sociales Phishing, Smishing, Vishing Alfredo Aranguren T. CISM, CISSP 12 Tendencias • Los atacantes aumentarán el uso de tácticas de ingeniería social para darle vuelta a los controles de seguridad tecnológicos. • Sus técnicas tomarán ventaja de factores psicológicos, tales como del deseo de tener más información, la necesidad de cumplir con normas sociales y en la propensión a obedecer a figuras de autoridad. • Más organizaciones adoptarán los medios sociales como un aspecto fundamental de su estrategia de mercadotecnia. Alfredo Aranguren T. CISM, CISSP 13 Tendencias • Las organizaciones tendrán dificultades para controlar las actividades en redes sociales de sus usuarios. • Los atacantes continuarán tomando ventaja del poco entendimiento de las practicas de seguridad en redes sociales para defraudar a personas y organizaciones. • El ser humano es el eslabón más débil, independientemente de como cambie la tecnología, los atacantes saben que siempre se puede engañar a los empleados. Alfredo Aranguren T. CISM, CISSP 14 Tendencias • Las organizaciones empezarán a tomar acciones para asegurar al ser humano. • La concientización ayudará a reducir la efectividad de los ataques y ayudará al usuario final a detectar un ataque. Alfredo Aranguren T. CISM, CISSP 15 Tendencias • La redes sociales eventualmente remplazarán al correo como el vector primario para distribuir ligas y código malicioso aprovechando la falta de conocimiento del usuario. Alfredo Aranguren T. CISM, CISSP 16 ¿Que Hacer? • Un programa de concientización debe de ir enfocado a crear una cultura, un hábito. • Los empleados deben de entender el valor que tiene la información y las consecuencias en caso de que la misma se vea comprometida. • El soporte de la alta dirección es indispensable. • Requiere la participación de diversas áreas (Comunicación corporativa, mercadotecnia) • Manejo del lenguaje, simple es mejor. Use analogías. Alfredo Aranguren T. CISM, CISSP 17 ¿Que Hacer? • • • • Use diferentes medios Piensa divertido Explica el porqué de la políticas. Las políticas deben de funcionar. (Walk your talk) Alfredo Aranguren T. CISM, CISSP 18 Los mandamientos de la seguridad • Protege tu Equipo • Tu usuario y contraseña son intransferibles… Cuídalos • Haz uso adecuado de tu correo electrónico • Mantén tu escritorio libre de información • No Seas victima de fraude electrónico y Phishing • Navega de manera segura • Manejo de la información • Protege las instalaciones • Ante la duda… consulta Alfredo Aranguren T. CISM, CISSP 19 ¿Porqué la ingeniería social es tan exitosa? Porque no hay parches para la estupidez humana. Alfredo Aranguren T. CISM, CISSP 20 GRACIAS Alfredo Aranguren T. CISM, CISSP 21